OpenAI
Tato stránka byla přeložena strojově. Zobrazit původní článek v angličtině.

Pokyny k integraci OpenAI / AWS EKM

Podrobné pokyny ke zřízení AWS a aktivaci EKM

Aktualizováno: 3 days ago

Přehled

Enterprise Key Management (EKM) umožňuje OpenAI šifrovat data pomocí hlavního klíče, který ovládáte. Tento dokument ukazuje, jak nastavit účet AWS, abyste OpenAI udělili omezená oprávnění ke svému KMS.

AWS EKM integration flow between OpenAI EKM Service, your STS, your KMS, and your master KEK

Kroky

1. Vytvořte nový klíč KMS

  1. Přejděte na KMS -> Klíče spravované zákazníkem a klikněte na Vytvořit klíč.

  2. Vyberte symetrický šifrovací algoritmus.

  3. Po vytvoření klíče si poznamenejte jeho ARN. Mezi podporované formáty patří arn:aws:kms:<region>:<account_number>:key/<uuid>, ...:key/mrk-* nebo ...:alias/<alias_name>.

AWS KMS customer managed key details page with key ID and ARN for test-kms

2. Vytvořte vlastní zásadu pro omezený přístup ke klíči KMS

  1. Přejděte na IAM -> Zásady a klikněte na Vytvořit zásadu.

  2. V kroku Zadat oprávnění vyberte JSON a zadejte následující obsah, který zásadě udělí akce pro přístup ke KMS. Nezapomeňte nahradit hodnotu YOUR_KMS_ARN ARN klíče, který jste vytvořili.

AWS IAM Create policy page with Specify permissions open and the JSON policy editor selected
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEncryptDecrypt",
            "Effect": "Allow",
            "Action": [

                "kms:Decrypt",
                "kms:Encrypt"

            ],
            "Resource": <YOUR_KMS_ARN>
        }
    ]
}

3. Vytvořte roli IAM, kterou může OpenAI převzít, a přiřaďte ji k zásadě s omezeným přístupem k vašemu KMS

OpenAI zavolá AssumeRole z účtu AWS vlastněného OpenAI. Tento krok umožní principalovi AWS společnosti OpenAI převzít omezenou roli pro přístup k vašemu KMS.

  1. Přejděte na IAM -> Role a klikněte na Vytvořit roli.

  2. V kroku Vybrat důvěryhodnou entitu vyberte Vlastní zásadu důvěryhodnosti.

AWS IAM Select trusted entity screen with Custom trust policy selected

Dále do vlastní zásady důvěryhodnosti zadejte následující, aby byl povolen přístup principalu AWS společnosti OpenAI.

  • Principal je principal AWS společnosti OpenAI: arn:aws:iam::790389265272:role/EnterpriseKeyManagement.

  • Uveďte, které ExternalId má OpenAI předat během procesu AssumeRole.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::790389265272:role/EnterpriseKeyManagement"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": [
                         <YOUR_OPENAI_ORGANIZATION_ID>,
                     ]
                }
            }
        }
    ]
}

Poté v kroku Přidat oprávnění vyhledejte název zásady IAM, kterou jste vytvořili v předchozím kroku. Zaškrtněte políčko vedle názvu zásady a klikněte na Další.

AWS IAM Add permissions page filtered to customer managed KMS policies with test-allow-kms-access selected

Nakonec v části Název, kontrola a vytvoření vyberte libovolný název role.

4. Uplatněte případná další omezení v souladu se svými bezpečnostními postupy

Výše jsou uvedeny minimální požadované informace, které OpenAI potřebuje k nastavení EKM. Můžete uplatnit další zásady klíčů nebo omezení v souladu se svými interními bezpečnostními postupy, pokud OpenAI dokáže ve vašem KMS volat operace šifrování a dešifrování. Když zavoláte koncový bod registrace klíče u OpenAI popsaný níže, ověříme vaše nastavení.

Po dokončení výše uvedených kroků

ChatGPT Enterprise

Obraťte se prosím na svůj kontakt v OpenAI a sdílejte následující:

  • "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>"

    • ARN role, kterou OpenAI převezme ve vašem cloudu.

  • "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>"

    • ARN systému správy klíčů pro hlavní klíč, který spravujete.

Povolíme EKM pro vaši organizaci/pracovní prostor ChatGPT.

API

Zaregistrujte svůj externí klíč u OpenAI

Postupujte podle pokynů v této referenci API: Externí klíče v rozhraní Management API.

  1. Nejprve zaregistrujte svůj externí klíč na úrovni organizace OpenAI, čímž se vygeneruje ID externího klíče.

  2. V tomto kroku ověříme, že váš vstup je platný a že se můžeme autentizovat vůči vašemu KMS.

  3. Tím se EKM do vašeho projektu OpenAI zatím nepřidá.

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \

"https://api.openai.com/v1/organization/external_keys" \
-d '{
  "type": "aws",
  "name": "Konfigurace AWS EKM",
  "role_arn": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:role/<YOUR_ROLE>",
  "kms_arn": "arn:aws:kms:<REGION>:<YOUR_AWS_ACCOUNT_NUMBER>:key/<UUID>",
  "external_id": <ID vaší organizace nebo projektu>
}'

Poté vytvořte projekt OpenAI přidružený k externímu klíči. Poté bude EKM ve vašem projektu aktivováno. Tělo odpovědi tohoto volání API vám poskytne ID projektu (proj_xxx).

curl -X POST \
-H "Content-type: application/json" \
-H "Authorization: Bearer $TOKEN" \
"https://api.openai.com/v1/organization/projects" \
-d '{
   "name": "Nějaký projekt",

   "external_key_id": "extkey_xxxx"
}'

Byl tento článek užitečný?